TUTELA DEI DATI … e dell’AZIENDA
E’ stato recentemente pubblicato il nuovo regolamento comunitario in materia di tutela dei dati personali e della loro libera circolazione, il 2016/679: il regolamento, già in vigore, abroga l’attuale direttiva (95/46) che aveva dato luce al decreto 196/03 che attualmente regolamenta in Italia il tema della privacy e che da qui a 3 anni dovrà andare … in pensione.
Nel nuovo regolamento, finalizzato ad evitare regolamentazioni nazionali differenziate e quindi cogente per tutti i paesi dell’unione europea, sono contenuti interessanti spunti che mi auguro inducano sempre più le aziende ad una oculata gestione dei dati sia a livello cartaceo ma soprattutto a livello informatico.
Vengono individuate le figure che in azienda vanno incaricate e formate per una responsabile e corretta gestione dei dati a tutela non solo dei singoli lavoratori o delle parti interessate (clienti, fornitori, parti sociali) ma anche dell’azienda stessa che, ricordo, può essere chiamata a rispondere di reati informatici (ai sensi del D.Lgs. 231/01) ricollegabili a palesi carenze nell’organizzazione della rete aziendale e alle lacune in particole nell’attribuzione degli accessi ed autorizzazioni alle risorse informatiche.
L’azienda infatti deve garantire e mantenere nel tempo la sicurezza informatica nel suo complesso con particolare riguardo a:
1) riservatezza: utilizzo del dato solo dalle persone autorizzate e verifica che non avvengano accessi non autorizzati
2) integrità: regole pertanto sulla cancellazione, modifica e conservazione del dato)
3) disponibilità del dato e servizio: compatibilità tra sistemi diversi e nel tempo così da non perdere dati con il passare del tempo (riconfigurazioni, aggiornamenti, back up)
4) consistenza: coerenza e pertinenza tra quello che ci attendiamo il sistema informatico faccia e registri e quello che effettivamente avviene (autocontrolli di sistema) e sulla restituibilità del dato
5) controllo: regolamento per differenziare accessi al sistema limitandolo in base alle funzioni aziendali e alla “sensibilità” del dato,
6) verifica: audit periodico di sistema così da misurarne le prestazioni e l’affidabilità.
L’attività di supporto che PSA può fornirvi può essere strutturata in fasi successive:
– analisi dei rischi e della situazione aziendale con particolare riguardo alla prevenzione dei reati informatici
– creazione di una politica di sicurezza informatica aziendale ( non solo sui dati, sugli elaboratori e sui dispositivi hardware, ma anche sul personale e sugli incaricati dell’azienda)
– formazione del personale e degli incaricati per un uso corretto e consapevole dei mezzi informatici messi a disposizione dall’azienda (sia hardware che software)
Per ogni informazione in merito potete contattare Martino Maroso (martino@progettosicurezzaambiente.it)